之前看某大佬的文章自己跟着複现的，大佬腻害~~如有错误纯属我理解错误还望指正~ヽ( ⌒ω⌒)人(=^‥^= )?

在特定的Solr版本中ConfigSet API存在未授权上传漏洞，攻击者利用漏洞可实现远程玳码执行

solr下载地址：(本次复现环境为8.0.0)

在kali的浏览器中输入地址,即可利用已上传的collection进行远程命令执行,这里执行的是whoami

PS:本文仅用于渗透测试学习，勿用于非授权测试。可在虚拟机完成环境搭建与测试